Для корректной работы OpenVPN на роутере, который будет выступать в роли Сервера должен быть внешний/внутренний статический IP-адрес. Его необходимо будет указывать на роутерах и других устройствах OpenVPN, которые будут работать в режиме Клиент.
Также, потребуется создать сертификаты CA, сервера и клиентов. Ознакомиться с примером создания сертификатов можно в статье - Создание сертификатов OpenVPN с помощью xca.
Настройка OpenVPN сервера через Web-интерфейс
Переходим в меню "VPN - OpenVPN" (1,2), добавляем шаблон "Server configuration for a routed multi-client VPN" с любым названием (3,4)
Название должно содержать больше 3 символов
- Параметр verb можно указать от 7 до 9 на время отладки туннеля, тогда журналирование будет расширенным и можно будет углубиться в журнал, если возникнет проблема при создании туннеля;
- Параметр server - подсеть туннеля. Для примера возьмем сеть 10.0.0.0 255.255.255.0. Тогда сервер должен получить первый адрес (10.0.0.1) из этой сети, а клиенты - остальные свободные адреса из этой сети;
- ca, cert, key - импортируем сертификат Центра сертификации, сертификат Сервера и ключ Сервера соответственно
- Далее добавляем другие параметры:
- port - 1194
- dev_type - tun
- proto - UDP (для клиента Mikrotik необходим протокол TCP)
Перейдем к расширенным настройкам (Switch to advanced configuration и добавим еще несколько параметров:
На вкладке "Service" можем добавить параметр log и указать путь, куда будет сохраняться журнал работы OpenVPN. Если параметр не добавлять, то журнал будет отображаться в logread;
На вкладке "Networking" можем добавить параметр route и ввести локальную подсеть клиента (если подключение точка-точка);
На вкладке "VPN" добавим параметр push и введем пользовательское правило для клиента - route 192.168.88.0 255.255.255.0 - маршрут до локальной сети OpenVPN-сервера;
На вкладке "Cryptography" потребуется указать путь до параметров Диффи-Хелмана;
Далее сохраняем настройки и запускаем экземпляр ovpn
Для входящих соединений нам потребуется создать правило в Firewall и разрешить входящие подключения на порт 1194/UDP
Переходим в меню "Сеть - Межсетевой экран - Правила для трафика" и добавляем новое правило: